Cloudflare 致力于为客户提供业界领先的网络安全解决方案。同时,我们认识到,建立强大的安全措施需要使用可能涉及审查敏感或个人数据的流程来识别潜在威胁,而这反过来又可能对隐私构成风险。因此,我们努力通过构建隐私优先的安全解决方案来平衡隐私和安全,我们将这些解决方案提供给客户,同时用于我们自己的网络。
在这篇文章中,我们将介绍如何以注重隐私的方式为使用 Cloudflare 网络的员工部署 Access 和 Zero Trust 代理等 Cloudflare 产品。尽管全球法律制度通常在公司网络上为员工提供较低级别的隐私保护,但我们努力确保员工了解他们的隐私选择,因为 Cloudflare 在尊重和促进互联网用户隐私方面拥有悠久的文化和历史。我们发现,许多客户也有同样的想法,希望在确保网络安全的同时保护隐私。
那么,我们如何在使用 Cloudflare 产品和服务的同时,平衡对隐私的承诺和确保公司内部环境的安全呢?我们从基础做起:我们只保留所需的最少数据量,尽可能去除个人数据的身份信息,与员工透明地沟通我们在公司系统上采取的安全措施及其隐私选择,并仅在所需的最短时间内保留必要的信息。
我们如何使用 Cloudflare 保护 Cloudflare
我们采取全面的方法来保护我们全球分布的混合员工,包括组织控制和技术解决方案。我们的组织方法包括多项措施,例如全公司的可接受使用政策、按管辖区量身定制的员工隐私通知、年度和新员工的隐私和安全培训、基于角色的访问控制 (RBAC) 和最低权限原则。这些组织控制使我们能够传达对公司和员工的期望,我们可以通过技术控制来实现这些期望,并通过日志记录和其他机制来执行这些期望。
我们的技术控制植根于 Zero Trust 最佳实践中,从关注我们的 Cloudflare One 服务以保护员工安全开始,如下所述。
安全访问应用程序
Cloudflare 使用我们自己的 Zero Trust 网络访问 (ZTNA) 服务 Cloudflare Access 来验证身份、使用安全密钥实施多因素身份验证以及使用 Zero Trust 客户端评估每个请求的设备态势,从而保护我们的员工(无论是远程还是在办公室)对自托管和 SaaS 应用程序的访问。这种方法经过数年的发展,使 Cloudflare 能够更有效地保护我们不断增长的员工队伍。
防御网络威胁
Cloudflare 利用 Cloudflare Magic WAN 保护我们的办公网络,并利用 Cloudflare Zero Trust 代理保护我们的员工。我们将这两种技术用作我们自己的安全 Web 网关(也称为网关)的入口,以保护我们的员工免受日益增多的在线威胁。
随着我们混合工作和办公配置的发展,我们的安全团队受益于对正向代理互联网流量的额外控制和可见性,其中包括:
精细的 HTTP 控制:我们的安全团队检查 HTTPS 流量,以阻止访问安全团队识别为恶意的特定网站,执行病毒扫描,以及应用身份感知浏览政策。
选择性隔离互联网浏览:借助远程浏览器隔离 (RBI) 会话,所有 Web 代码都在远离本地设备的 Cloudflare 网络上运行,将用户与任何不受信任内容和恶意内容隔离开来。如今,Cloudflare 隔离了社交媒体、新闻媒体、个人电子邮件和其他潜在危险的互联网类别,并且我们为员工设置了反馈循环,以帮助我们对这些类别进行微调。
基于地理的日志:查看出站请求的来源有助于我们的安全团队了解我们工作人员的地理分布,包括高风险地区的员工。
数据丢失防护:为了将敏感数据保留在公司网络内,此工具让我们能够识别出站 HTTP/S 流量中标记为敏感的数据并防止其离开网络。
云访问安全代理:该工具使我们能够监控 SaaS 应用程序的错误配置以及可能过度暴露或共享的敏感数据。
使用云电子邮件安全保护收件箱
此外,我们还部署了 Cloud Email Security 解决方案,以保护我们的员工免受日益增多的网络钓鱼和商业电子邮件泄露攻击,这些攻击不仅针对我们的员工,而且正在困扰着全球组织。我们使用的一项关键功能是电子邮件链接隔离,它使用 RBI 和电子邮件安全功能在隔离的浏览器中打开潜在的可疑链接。这能够在不影响安全性的情况下阻止可疑链接,让我们可以稍微放松一点。这对我们的员工和安全团队的生产力来说是一个巨大的胜利,因为两组员工都不必处理大量的误报。
有关我们实施的更多详细信息,请参阅使用 Cloudflare One 保护 Cloudflare 案例研究。
我们如何尊重隐私
Cloudflare 创建和部署的这些强大安全技术的本质,强调了我们在处理这些数据时必须使用隐私优先原则的责任,并认识到应该始终尊重和保护数据。
尊重隐私的旅程始于产品本身。我们开发的产品在基础部分内置了隐私控制。为了实现这一点,我们的产品团队与 Cloudflare 的产品和隐私顾问密切合作,从设计上践行隐私保护。这种合作的一个很好的例子是能够在安全 Web 网关日志中管理个人可识别信息 (PII)。您可以选择从网关日志中完全排除 PII,也可以在日志中对 PII 进行模糊化处理,并利用 Zero Trust PII 角色对 PII 的访问进行精细控制。
除了构建隐私优先的安全产品外,我们还致力于与 Cloudflare 员工进行透明沟通,告知他们这些安全产品的工作原理,以及他们能够和不能看到的内部系统流量。这让员工能够将自己视为安全解决方案的一部分,而不是就员工使用公司系统事宜树立“我们与他们”的心态。
例如,虽然我们的员工隐私政策和可接受使用政策向员工广泛告知了他们使用公司系统时数据会发生什么情况,但我们认为有必要提供更多细节。因此,我们的安全团队与隐私团队合作创建了一个内部 wiki 页面,清楚地解释了我们的安全工具收集的数据及其原因。我们还描述了员工可用的隐私选择。这对于选择使用个人移动设备方便工作的“自带设备” (BYOD) 员工来说尤其重要。如果 BYOD 员工想要访问 Cloudflare 系统,他们必须在设备上安装端点管理(由第三方提供)和 Cloudflare 的 Zero Trust 客户端。我们向员工清楚地说明了这意味着 Cloudflare 团队可以看到他们设备上的哪些流量,并解释了当他们将设备用于纯粹的个人目的时,可以如何采取措施来保护自己的隐私。
对于开发和支持我们的 Zero Trust 服务的团队,我们确保仅在严格的“需要知道”的基础上提供数据,并且仅限于需要访问权限来完成其工作的 Cloudflare 团队成员。具有访问权限的人员必须接受培训,以提醒他们尊重这些数据的责任,并为他们提供处理敏感数据的最佳实践。此外,为了确保我们具有完全的可审计性,我们会记录针对此数据库运行的所有查询以及运行这些查询的人员。
Cloudflare 还让我们的员工能够轻松表达他们对数据处理方式或用途的任何疑虑。我们已建立机制,允许员工就在 Cloudflare 网络上使用 Zero Trust 安全事宜提出问题或表达疑虑。
此外,我们让员工能够轻松地直接联系负责这些工具的领导。所有这些工作都帮助我们的员工更好地了解我们收集哪些信息以及收集的原因。这有助于扩大我们在 Cloudflare 的安全和隐私方面的坚实基础。
鼓励为所有人提供隐私优先的安全性
我们坚信,卓越的安全性对于确保数据隐私至关重要,隐私和安全可以和谐共存。我们还知道,可以通过尊重使用这些系统的员工来保护企业网络。
对于希望保护公司网络安全的任何人,我们都鼓励关注内置个人数据保护的网络安全产品和解决方案,例如我们的 Zero Trust 产品套件。如果您想了解如何在自己的组织中实施这些 Cloudflare 服务,请在此处请求咨询。
我们还敦促组织确保与用户进行清晰的沟通。除了确保公司政策透明且易于理解之外,帮助员工了解他们的隐私选择也很重要。根据全球几乎所有司法管辖区的法律,个人在公司设备或公司系统上的隐私级别低于在自己的个人帐户或设备上的隐私级别,因此必须清楚地沟通以帮助员工了解其中的差异。如果一个组织有隐私倡导者、工人委员会或其他员工代表团体,则应尽早并经常与这些团体进行沟通,以帮助员工了解他们可以对其数据实施哪些控制。